クラウドサービス利用と個人情報保護法

ネットビジネスの進歩によって、クラウドサービスを利用する企業が多くなりました。

同時に、クラウドサービスを利用する際には、個人情報保護法との関連で注意すべき点もあります。

多くの民間事業者は、基本的に個人情報保護法における、個人情報取扱事業者となり、入手した個人データを、第三者に提供する場合には、原則として、本人の同意を必要とするなど、様々な義務が課されています。（個人情報保護法第27条など）

クラウド例外とは

いわゆる「クラウド例外」とは、一定の要件を満たす場合には、クラウドサービスを利用する企業に対して、個人情報保護法上の義務を課さないとするものです。

なお、この「クラウド例外」は、個人情報保護法に規定が設けられているものではなく、個人情報保護委員会の「『個人情報の保護に関する法律についてのガイドライン』に関するＱ＆Ａ」での取り扱いに過ぎませんが、実務では広く利用されています。

具体的には、Ｑ＆Ａ7-53において、「当該クラウドサービス提供事業者が、当該個人データを取り扱わないこととなっている場合には、当該個人情報取扱事業者は、個人データを第三者に提供したことにはならない」とされています。

簡単に言えば、クラウドサービス提供事業者が個人データを預かっているだけの貸倉庫業のような場合が、これに該当します。

ここでの「当該個人データを取り扱わないこととなっている場合」とは、契約の内容に、「当該外部事業者が、サーバに保存された個人データを取り扱わない旨が定められており、適切にアクセス制御を行っている場合等が考えられる」とされています。

クラウドサービス利用者の対応

これを逆に言えば、「クラウド例外」に該当しない場合には、「クラウドサービスを利用する企業は、個人情報保護法上、原則通りの義務が課される可能性がある」ということになります。

従って、既にクラウドサービスを利用している場合、または、新たにクラウドサービスを利用しようとする場合にかかわらず、当該サービスが「クラウド例外」に該当するかどうか、契約内容をきちんと把握することが大切になります。